SICUREZZA INDUSTRIALE

Cyber security OT, dalle norme alla protezione attiva: cosa cambia per OEM e utilizzatori



Indirizzo copiato

NIS2, Cyber Resilience Act e nuovo Regolamento Macchine stanno ridisegnando il quadro degli obblighi per costruttori e utilizzatori di macchine. Ma adeguarsi alle norme non basta: servono tecnologie OT native, protezione attiva degli endpoint e un cambio di mentalità che porti la sicurezza informatica dentro i processi produttivi. Il punto alla prima tappa di SPS On Tour 2026.

Pubblicato il 26 feb 2026



cyber security cybersecurity shutterstock



Per anni la cybersecurity in fabbrica è stata una questione da addetti ai lavori, un tema che faticava a uscire dai convegni specialistici. Poi sono arrivati gli attacchi – sempre più frequenti, sempre più mirati agli ambienti OT – e una serie di normative spinte dalla necessità di rendere i sistemi industriali – soprattutto quelli critici – più resilienti. Oggi insomma la sicurezza informatica industriale più che una best practice è… un requisito. E il quadro normativo europeo che si sta completando impone un cambio di passo a tutti gli attori della filiera, dai produttori di componenti agli utilizzatori finali.

Di questo si è discusso alla prima tappa di SPS On Tour 2026 – l’evento organizzato da SPS Italia alla Fondazione MAST di Bologna come percorso di avvicinamento alla fiera di Parma (26-28 maggio) – in una tavola rotonda che ha coinvolto Esa Automation, Forescout, Ixon, Siemens e TXOne Networks.

Tre normative, un unico messaggio

Il quadro regolatorio europeo si regge su tre pilastri. Il primo è la direttiva NIS2, già recepita in Italia con il decreto legislativo 138 del 2024. “Non è più una best practice la cybersecurity, ma è un requisito normativo”, ha sintetizzato Mauro Cerea, HMI & IPC Division Manager di Esa Automation. La NIS2 impone alle aziende di gestire il rischio informatico, segnalare gli incidenti e – novità significativa – introduce responsabilità penali per il management. Non ci si potrà più nascondere dietro la formula “non ci scoprirà nessuno”.

La NIS2 nasce con un obiettivo preciso: garantire la resilienza e la continuità operativa delle imprese. E il suo perimetro è molto più ampio di quanto molti credano. “La NIS2 è un regolamento che si applica alle aziende, non alle macchine e non ai prodotti”, ha chiarito Paolo Quaglino, Solution Engineer di Ixon, smontando un equivoco diffuso. “Arrivano aziende che ci chiedono ‘dammi il modulo per la NIS2’ o ‘il mio cliente mi chiede la macchina NIS2’. Non funziona così”. La norma richiede misure di gestione del rischio, analisi delle vulnerabilità, procedure per gli incidenti, formazione e – punto spesso sottovalutato – la verifica della propria catena di approvvigionamento. Questo significa che anche chi non rientra direttamente nel perimetro NIS2 può trovarsi coinvolto se i propri clienti vi rientrano.

Il secondo pilastro è il nuovo Regolamento Macchine, che entrerà in vigore il 20 gennaio 2027. È un passaggio storico perché per la prima volta collega safety e cybersecurity sullo stesso piano: una macchina vulnerabile dal punto di vista informatico è potenzialmente pericolosa per l’operatore. “Si vuole evitare che qualsiasi tipo di incidente cyber possa modificare le funzionalità della macchina e quindi vada a impattare la sicurezza fisica dell’operatore”, ha spiegato Maurizio Milazzo, Sales Director South Europe di TXOne Networks. Chi non si adegua non potrà più apporre la marcatura CE.

Il terzo pilastro è il Cyber Resilience Act (CRA), che entrerà in vigore l’11 dicembre 2027. Sposta il focus sui produttori di tecnologie digitali, imponendo che i dispositivi siano “secure by design” e che il produttore garantisca aggiornamenti di sicurezza per almeno cinque anni dalla commercializzazione.

Il filo conduttore che lega queste tre normative è la norma IEC 62443. “È uno standard, un faro, una guida perché tutti abbiano un’idea di come si costruiscano le architetture cyber”, ha spiegato Cerea. Seguirla permette di coprire una parte significativa del lavoro necessario per la conformità a NIS2 e CRA.

La visibilità non basta, serve protezione attiva

Ma adeguarsi alle norme è solo il punto di partenza. Il vero problema è passare dalla consapevolezza alla protezione effettiva. È il messaggio su cui hanno insistito Forescout e TXOne Networks con approcci complementari.

“Il vero problema nella security non è quello che sappiamo, ma quello che non sappiamo di non sapere”, ha osservato Stefano Innocenti, Channel Systems Engineer Southern Europe di Forescout. Le reti industriali hanno visto una crescita esponenziale non solo quantitativa ma qualitativa: non ci sono più solo PLC, ma telecamere, sensori intelligenti, sistemi di building management e tutto il mondo dell’extended IoT. La maggior parte di questi dispositivi non è gestibile con gli strumenti IT tradizionali. Il primo passo è quindi ottenere visibilità completa sugli asset attraverso l’analisi passiva del traffico di rete: sapere cosa c’è, con chi comunica e se il comportamento è coerente con la funzione produttiva.

Il passaggio successivo è la microsegmentazione: isolare logicamente i dispositivi vulnerabili dal resto della rete. “Molte aziende si bloccano dopo aver identificato gli asset e le vulnerabilità perché non possono fermare la linea per applicare le patch”, ha spiegato Innocenti. Servono strumenti che leggano il contenuto dei pacchetti e aggiornino dinamicamente le policy di sicurezza.

Milazzo ha rafforzato il concetto con un’immagine efficace: “Il firewall è come un portiere che fa entrare chiunque abbia le credenziali, anche se rubate. Ma le credenziali si rubano”. Per proteggere davvero la produzione servono soluzioni “OT native” che riconoscano gli applicativi industriali, non richiedano il riavvio dei PC (condizione inaccettabile per la produzione) e funzionino anche su sistemi operativi obsoleti come Windows XP o Windows 7. L’approccio proposto è quello del “virtual patching” tramite sistemi di intrusion prevention e della protezione degli endpoint industriali con logiche di white listing: si definiscono gli applicativi autorizzati e tutto il resto viene bloccato.

OEM e utilizzatori: due velocità, una sfida comune

La tavola rotonda ha fatto emergere una differenza significativa di maturità tra chi le macchine le usa e chi le costruisce. “C’è un doppio passo”, ha osservato Matteo Malara, Solution Architect Team Leader di Siemens. “Gli end user impattati dalla NIS2 sono già consci di quello che devono fare e hanno preso iniziative. Gli OEM che saranno impattati dal Regolamento Macchine e dal CRA sono ancora in fase esplorativa”.

Per i costruttori di macchine la sfida è duplice. Da un lato devono riprogettare i propri prodotti secondo i principi della security by design. Dall’altro devono strutturarsi per garantire il patch management e gli aggiornamenti di sicurezza per almeno cinque anni, come richiesto dal CRA. Malara ha individuato in questo obbligo una linea di demarcazione competitiva: “Ci sarà un divario tra chi subirà questa cosa perdendo competitività, perché dare aggiornamenti è oneroso, e chi si strutturerà per offrire queste cose come servizio, trasformando un onere in un’opportunità di revenue”.

Sul fronte degli utilizzatori il tema è la convergenza tra IT e OT. Le reti industriali non sono più isole: sono connesse, complesse e popolate da dispositivi eterogenei. Ma le competenze per gestirle in sicurezza sono ancora distribuite in silos organizzativi. Il CISO e il responsabile di produzione devono imparare a dialogare, perché il blocco della produzione per un incidente cyber non è diverso – nelle conseguenze economiche – da un fermo macchina per guasto meccanico. Per le grandi aziende un fermo impianto è un danno milionario; per una PMI monoprodotto può significare la chiusura definitiva dell’attività.

Sicurezza come processo, non come prodotto

Il dato forse più significativo emerso dalla tavola rotonda riguarda il fattore umano: oltre il 50% degli incidenti cyber in fabbrica è legato a comportamenti umani e il 52% delle vulnerabilità viene introdotto dal personale di manutenzione – interno ed esterno – che collega dispositivi non sicuri alle macchine.

Questo significa che nessuna tecnologia, per quanto sofisticata, può sostituire la formazione delle persone e la definizione di processi chiari. La cybersecurity industriale è un processo continuo, non un prodotto da acquistare e installare. Come ha sintetizzato Quaglino: “Non è una pezza da applicare alla fine. Se nella progettazione si tiene conto della performance e della safety, adesso va aggiunta anche la security. Se la pensi già integrata poi è più facile mantenerla”.

Articoli correlati